Nous vivons dans un monde complexe. Les chaînes d'approvisionnement sont l'ultime illustration de cette complexité dans l’espace technologique. Aujourd'hui, peu d'entreprises sont totalement indépendantes de fournisseurs tiers pour leurs produits, services et logiciels. En fait, de nombreuses organisations travaillent avec des dizaines de prestataires et fournisseurs externes.
Côté cybersécurité, cela ne va pas sans causer de graves problèmes. Comme l'a clairement démontré la récente attaque menée par la Russie contre SolarWinds, la robustesse de la cybersécurité de vos fournisseurs est intimement liée à la vôtre. Une intrusion dans leurs systèmes peut servir de tremplin pour lancer une attaque contre les vôtres.
Dans cet article, nous étudierons ce que le récent piratage nous révèle sur la cybersécurité de la chaîne d'approvisionnement. Nous aborderons plus largement l'état de la sécurité des chaînes d'approvisionnement, et nous vous livrerons quelques conseils pratiques pour vous protéger.
SolarWinds
Commençons par l’affaire SolarWinds. Les premières révélations sur le piratage de SolarWinds datent de décembre 2020. Il n’a pas fallu attendre longtemps pour se rendre compte de la gravité de l'attaque. L'éditeur logiciel SolarWinds est en effet un fournisseur important de l'armée des États-Unis et travaille avec plusieurs dizaines d'agences fédérales. Cela signifie que les hackers – probablement d'origine russe, selon un communiqué publié conjointement par quatre agences fédérales – ont pu accéder aux données détenues par, ou pour le compte, de nombreuses entreprises.
Contrairement aux premiers rapports, il semblerait aujourd’hui que le piratage ait touché jusqu'à 250 sociétés et exploité différentes couches de l'infrastructure fournie par SolarWinds.
Selon Bitsight, l'attaque pourrait coûter jusqu'à 90 millions de dollars US aux sociétés de cyber-assurance. Si le chiffre est impressionnant, il reste très en deçà de ce à quoi l'on pourrait s’attendre, compte tenu de l'ampleur de l'attaque. L’explication tiendrait au fait que les agences gouvernementales ne souscrivent pas d'assurance cyber et ne seront donc pas directement indemnisées des conséquences de l'attaque.
Il s’agit, au total, de l'une des plus grandes violations de données survenue ces cinq dernières années. Certains aspects particulièrement perturbants ont cependant conduit de nombreux acteurs sectoriels à repenser leur façon de protéger leurs IoT et leurs chaînes d'approvisionnement contre les nouvelles menaces.
Anatomie d'un piratage de la chaîne d'approvisionnement
Les attaques de la chaîne d'approvisionnement sont simples à comprendre, mais extrêmement difficiles à résoudre. On peut attribuer cela en partie à la complexité inédite de notre économie, notamment en ce qui concerne les outils et les services technologiques. Aujourd'hui, même les petites entreprises dépendent de logiciels fournis par des dizaines d'éditeurs. Peu d'entreprises sont en mesure de réaliser suffisamment d'audits pour s’assurer que leurs fournisseurs sont protégés contre les attaques. Et à ce qu’il semblerait, même le gouvernement fédéral américain n’en a pas la capacité.
Or, il est difficile d'exiger un tel niveau de confiance sans tuer le dynamisme qui a contribué à l’essor du secteur des technologies. Certains ont proposé une solution technique : un système de certificats, de garanties et de chiffrement similaire à celui utilisé pour protéger les sites web grand public. Difficile toutefois d'imaginer qu'une telle idée puisse recueillir un soutien massif dans un secteur de la tech qui préfère « aller vite et faire de la casse » (la devise « Move fast and break things » de la Silicon Valley), plutôt que se soumettre à un arsenal règlementaire restrictif et potentiellement coûteux.
Les entreprises qui dépendent de logiciels tiers (c'est-à-dire la plupart des entreprises et la majorité des villes intelligentes) n’ont guère d’autres choix que de choisir leurs fournisseurs en fonction de leur réputation. Cette solution est loin d'être idéale. Comme l'ont prouvé les attaques contre SolarWinds et FireEye (et d'autres avant elles), personne n'est totalement à l'abri d'une attaque.
Atténuer les risques sur la chaîne d'approvisionnement
Les entreprises peuvent avoir du mal à prévenir les attaques sur les chaînes d'approvisionnement étant donnée la complexité d’une chaîne logistique lambda. Une entreprise standard se contentera donc de réduire les dommages potentiels, tout en limitant sa responsabilité juridique dans le cas où une attaque de ce type devrait survenir.
La plupart des sociétés doivent par conséquent s'appuyer sur les référentiels de conformité qui font (ou devraient déjà faire) partie de leurs méthodes de conduite des affaires. Certains de ces référentiels, comme la norme PCI, prévoient explicitement une évaluation des risques par un tiers. Ils garantissent aussi, dans une certaine mesure, que les entreprises « plus en amont » dans la chaîne d'approvisionnement se sont prêtées à des contrôles de conformité avant de pouvoir commercialiser des logiciels.
Certains référentiels, bien que non obligatoires sur le plan légal, peuvent être utiles aux entreprises qui cherchent à limiter leur exposition aux risques en rapport avec leur chaîne d'approvisionnement. Le modèle de maturité des capacités (CMM, ISO 9001), souvent appelé « Critères communs », est le référentiel utilisé par les agences de surveillance gouvernementales pour contrôler leurs propres fournisseurs. Il s'agit actuellement de l'ensemble de normes le plus rigoureux pour limiter l'exposition aux risques de tiers.
Enfin, et de manière plus pragmatique, les entreprises doivent faire le nécessaire pour limiter leur responsabilité en cas de piratage de la chaîne d'approvisionnement. Les mesures prises doivent aussi leur permettre d’éviter les faillites potentielles causées par ces attaques. Il leur appartient par conséquent de veiller à ce que les contrats qu’elles signent avec leurs fournisseurs tiers prévoient la responsabilité de ces tiers en cas d’attaques sur leurs systèmes.
Il s’agit également d’être extrêmement vigilant sur la façon dont les logiciels open source sont utilisés (et l’endroit où ils sont utilisés), car aucune responsabilité de ce type ne saurait être retenue. Selon le rapport de Sonatype sur l'état de la chaîne logistique logicielle en 2020, les attaques de la chaîne d'approvisionnement visant des projets de logiciels libres constituent un problème majeur pour les entreprises. En effet, 90 % de toutes les applications contiennent du code libre et 11 % d'entre elles présentent des vulnérabilités connues.
En résumé
On ne peut malheureusement envisager que la menace d'attaques contre la chaîne d'approvisionnement disparaisse de sitôt — ne serait-ce qu'en raison de la place centrale des éditeurs de logiciels tiers dans l'économie actuelle. Sur le plan de la sécurité, certains analystes vantent la supériorité d'une gestion des réseaux basée sur l'IA par rapport à une surveillance humaine. Malgré leurs dires, et pour les raisons évoquées plus haut, nous allons toutefois devoir nous habituer aux piratages comme l’attaque contre SolarWinds.
Mais heureusement, avec les bonnes structures de responsabilité en place, vous pouvez au moins vous protéger contre les conséquences financières et juridiques.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d'offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.